Les også: France Travail: 43 millioner rammet fordi ansatte hadde for mye tilgang
Da CNIL etterforsket France Travail-bruddet, fant de noe mange virksomheter kjenner igjen uten å vite det — tilgangsrettighetene var definert for bredt. CAP EMPLOI-rådgivere, som fungerte som samarbeidspartnere i oppfølgingen av arbeidssøkere, hadde systemtilgang til alle brukeres data. Ikke bare de de aktivt fulgte opp — alle. Det er ikke en bevisst beslutning. Det er slik systemet ble konfigurert, og ingen hadde gått tilbake og sjekket.
GDPR artikkel 5 krever at personopplysninger behandles av et begrenset antall personer — bare de som har et legitimt behov. Det er en konkret plikt, og den gjelder internt: hvem i din virksomhet har tilgang til hva?
Praktisk poeng: Ta en runde gjennom tilgangsrettighetene i de tre systemene der dere behandler mest sensitiv informasjon. Hvem har tilgang, til hva, og hvorfor? Har noen tilgang de ikke lenger trenger — fordi de byttet rolle, sluttet, eller fordi det bare «alltid har vært sånn»?
Inspirert av: CNIL